Synology VPN - Zugriff beschränken
-
Hallo
Ich betreibe auf der Synology einen VPN-Server.
Klappt auch wie es soll.Nun möchte ich bestimmten VPN-Usern nur Zugriff auf 1e interne IP-Adresse ermöglichen.
Ist dies überhaupt möglich?Oder den VPN ganz woanders (zB auf dem Proxmox)?
Da würden dann gleich viele Fragen kommen.
Oder geht auch ein sicherer Zugang von aussen, ohne ein Scheunentor zu öffnen?
Hab öfter was von Reverse-Proxy gehört.Danke schonmal.
-
@negalein Hallöchen,
VPN auf der Synology ist sicher eine Lösung allerdings IMHO nicht empfehlenswert wenn du ohnehin Proxmox am laufen hast.
Vorgehen aus meiner Sicht:
Optimal -- VPN:
- In Proxmox einen neuen Debian/Ubuntu LXC anlegen
- Diesen Linux Container mit einem separaten virtuellen Proxmox Netzwerk mit dem ioBroker verbinden (je nachdem wie paranoid du bist kannst du ab dem Zeitpunkt den ioBroker vom Internet entfernen und diese Verbindung bei Bedarf einschalten z.B. für Updates)
- WireGuard oder OpenVPN Server auf dem neu erstellten Container installieren.
- Portfreigabe für den VPN Dienst anlegen aber das kennst du ja schon von Syno.
Auch gut -- ReverseProxy:
- In Proxmox einen neuen Debian/Ubuntu LXC anlegen
- Diesen Linux Container mit einem separaten virtuellen Proxmox Netzwerk mit dem ioBroker verbinden
- Portfreigabe 80 und 443 auf den neu erstellten Container
- NGiNX Proxy-Manager im Docker Container installieren( das hört sich komplizierter an als es ist
) - Im NGiNX ProxyManager eine Domain anlegen und mit Let´s Encrypt absichern lassen
- ioBroker im NGiNX ProxyManager konfigurieren
Alternative:
Je nach dem welchen Router/Gateway du hast könntest du ein separates VLAN einrichten welches auch mit der Synology Verbunden wird(die hat dann 2 Netzwerke). In dieses VLAN kommt nur der ioBroker und in der Synology beschränkst du das VPN auf das verbundene VLAN.Alle o.g. Portfreigaben verweisen auf abgesicherte Dienste die dazu gedacht sind und ohne die eine Verbindung nicht möglich wäre, also kein Scheunentor
Wie auch immer du dich entscheidest, ich bin gerne bereit dabei zu unterstützen.
LG CrunkFX -
@crunkfx sagte in Synology VPN - Zugriff beschränken:
Wie auch immer du dich entscheidest, ich bin gerne bereit dabei zu unterstützen.
Danke, da komm ich sicher darauf zurück.
Mir gehts nicht um Verbindungen von intern nach extern, sondern extern nach intern.
ioB und andere SmartHome kommen in ein eigenes VLAN. Denke die muss ich dann nicht wie oben beschrieben ins VPN
hängen? ioB darf ruhig raustelefonieren.
USG pro trudelt bald ein.
Ich als Admin will über VPN von extern auf mein komplettes Netzwerk zugreifen.
Usergruppe A darf von extern zB nur auf intern 10.0.1.200 zugreifen.
Usergruppe B darf von extern zB nur auf intern 10.0.1.199 zugreifen. -
@negalein sagte in Synology VPN - Zugriff beschränken:
Ich als Admin will über VPN von extern auf mein komplettes Netzwerk zugreifen
Das hatte ich verstanden
Welchen VPN Typ nutzt du auf der Synology? L2TP oder OpenVPN?
-
@crunkfx sagte in Synology VPN - Zugriff beschränken:
Welchen VPN Typ nutzt du auf der Synology?
L2TP
kann aber gerne wechseln. Je nachdem welches performanter ist.
-
schon mal was von tailscale gehört? scheint einfach zu administrieren zu sein
https://forum.iobroker.net/topic/48426/tailscale-vpn-wer-hat-erfahrung/19https://tailscale.com/kb/1131/synology/ geht wohl auch
habe es nur getestet - fragen dazu kann ich nicht beantworten
@CrunkFX was meinst du dazu ?
-
@liv-in-sky sagte in Synology VPN - Zugriff beschränken:
schon mal was von tailscale gehört?
Nein, höre ich zum ersten mal.
Muss ich mal Tante Google aufwecken. -
@liv-in-sky Oh, das sieht in der tat sehr gut aus, scheint mir vom Verbindungsprotokoll wie Anydesk. Jeder Client gleichzeitig auch Server. Wer mit 5$ im Monat leben kann sicher die einfachste Lösung.
-
@crunkfx ist eigentlich kostenlos - außer man benötigt etwas mehr
-
@liv-in-sky Ja im Fall von @Negalein sollen es ja 2 Benutzer sein
-
-
@negalein Die andere Lösung wäre Wireguard zu nutzen (ist ohnehin schneller und effizienter als L2TP) und 2 Instanzen aufzusetzen die eine erlaubte IP-Range haben. Damit könntest du dir alle erlauben und der anderen VPN Instanz nur die von dir Freigegebenen.
Tailscale scheint mir aber eine sehr gute alternative für die "Portforwarding Freundlichen Standardnutzer" . Ich werde mal ans testen gehen
-
@crunkfx sagte in Synology VPN - Zugriff beschränken:
Die andere Lösung wäre Wireguard zu nutzen
hab oft gelesen, dass Wireguard sehr kompliziert zu konfigurieren ist.
-
@negalein Das sehe ich komplett anders. L2TP ist wesentlich komplizierter. Tailscale nutzt btw. auch Wireguard. Ich könnte dazu ein Tutorial hier verfassen für Proxmox
-
@crunkfx sagte in Synology VPN - Zugriff beschränken:
Portforwarding Freundlichen Standardnutzer
ich hab nur die VPN-Port weitergeleitet.
-
@negalein Du bist auch nicht Standard
-
@crunkfx sagte in Synology VPN - Zugriff beschränken:
Ich könnte dazu ein Tutorial hier verfassen für Proxmox
gerne!
Hat aber keine Eile. Jetzt muss mal die UDM pro kommen und mein Techniker Zeit haben.
-
@negalein Sobald ich Zeit finde setze ich mich ran
-
wenn du dran denkst, kannst du dann hier einen link zu deiner wireguard beschreibung setzen - damit ich es nicht übersehe
-
@liv-in-sky Klar, ich krame am WE mal den Proxmox raus und dann gehts los
